Atualizações cumulativas e SSU falhando em um Controlador de Domínio com Windows Server 2022? Se você viu 0x8024200B e depois 0x800f081f, este guia explica as causas prováveis e traz um passo a passo prático. A solução que resolveu o caso real foi um reparo in‑place com a ISO, mantendo arquivos e funções.
Visão geral do problema
Um servidor Windows Server 2022 atuando como Controlador de Domínio (DC) não conseguia concluir a instalação de atualizações cumulativas — por exemplo, KB5037422 e KB5036909. As tentativas também falhavam ao aplicar a Servicing Stack Update (SSU). Inicialmente aparecia o erro 0x8024200B, e posteriormente o 0x800f081f. Já haviam sido executados todos os procedimentos básicos: Solucionador de Problemas do Windows Update, sfc /scannow, DISM /Online /Cleanup-Image /RestoreHealth, limpeza da pasta SoftwareDistribution e redefinição dos componentes do Windows Update. Ainda assim, as atualizações não instalavam.
| Item | Detalhes observados |
|---|---|
| Sistema | Windows Server 2022, função de Controlador de Domínio (AD DS) |
| Atualizações | Cumulativas (ex.: KB5037422, KB5036909) e SSU correspondente |
| Erros | 0x8024200B (Windows Update) → 0x800f081f (origem ausente para reparo) |
| Tentativas prévias | Solucionador do WU, SFC, DISM /RestoreHealth, limpeza do SoftwareDistribution, reset de componentes do WU |
| Logs relevantes | C:\Windows\Logs\CBS\CBS.log, C:\Windows\Logs\DISM\dism.log, WindowsUpdate.log (gerado via PowerShell) |
Por que isso acontece
Em muitos casos, a cadeia de atualização falha quando há inconsistência no component store (WinSxS) ou quando o sistema não encontra os arquivos de origem necessários para reparar componentes — exatamente o que o código 0x800f081f costuma indicar. Esse cenário pode ser agravado por:
- SSU desatualizada ou não aplicada corretamente.
- Ambientes com WSUS/Proxy que impedem o uso do Windows Update como fonte de reparo.
- Políticas de grupo bloqueando a recuperação de arquivos de origem ou sem caminho alternativo configurado.
- Interferência de antivírus/EDR durante a fase de manutenção (servicing).
- Baixo espaço em disco, pendências de atualização (pending.xml) ou corrupção em arquivos do sistema.
Caminho de decisão recomendado
Antes de partir para soluções disruptivas, siga um roteiro objetivo. A tabela abaixo ajuda na triagem rápida:
| Situação | Ação sugerida |
|---|---|
| SSU ausente ou desatualizada | Validar SSU mais recente instalada; se necessário, tentar aplicá-la isoladamente |
| Falha com 0x800f081f | Executar DISM apontando para a ISO do Server 2022 como Source |
| Falhas persistentes após DISM com Source | Realizar instalação de reparo (in‑place) com a ISO correspondente |
| Ambiente restrito (WSUS/Proxy) | Permitir fallback ao Windows Update ou configurar caminho alternativo de origem |
| Baixo espaço/AV interferindo | Liberar espaço, pausar AV/EDR conforme política e repetir |
Procedimento completo e boas práticas
Verificar a Servicing Stack Update
Confirme se a SSU atual está aplicada. Métodos úteis:
- PowerShell:
Get-HotFix(quando aplicável ao pacote listado). - DISM:
dism /online /get-packagese revisar pacotes Servicing Stack.
Integridade do sistema
Se já executou, ótimo; se não, rode novamente após limpar falhas pendentes:
sfc /scannow
dism /online /cleanup-image /scanhealth
dism /online /cleanup-image /restorehealth
Redefinir componentes do Windows Update
O reset padrão limpa SoftwareDistribution e reinicia serviços. Um script seguro em PowerShell pode ajudar:
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start msiserver
net start bits
net start cryptSvc
net start wuauserv Reparo do repositório com mídia de origem
Se o erro 0x800f081f aparece, o sistema pode estar sem a origem correta. Use a ISO do Windows Server 2022 como Source:
- Monte a ISO (supondo letra
X:). - Descubra o índice da edição presente no
install.wimouinstall.esd:
dism /Get-WimInfo /WimFile:X:\sources\install.wim
Em seguida, use o índice correto no comando abaixo (exemplo com índice 1):
dism /Online /Cleanup-Image /RestoreHealth /Source:wim:X:\sources\install.wim:1 /LimitAccess
Se a mídia possuir install.esd:
dism /Online /Cleanup-Image /RestoreHealth /Source:esd:X:\sources\install.esd:1 /LimitAccess
Dica: o parâmetro /LimitAccess impede que o DISM busque arquivos fora da sua mídia, útil em ambientes sem Internet ou com WSUS estrito.
Instalação de reparo (in‑place)
Se ainda falhar — e foi o que resolveu o caso real — realize um reparo in‑place. O processo reinstala os componentes do Windows preservando funções (incluindo AD DS), dados e aplicativos.
Pré‑requisitos e cuidados para Controladores de Domínio
- Garanta backup de Estado do Sistema e do volume do SO. Para DCs, isso é indispensável.
- Evite reverter snapshots de VM de DC. Use backup/restore apropriado para não provocar USN rollback.
- Valide a saúde do AD antes do reparo:
dcdiag /verepadmin /replsummary. - Verifique espaço livre suficiente no
C:(idealmente dezenas de GB livres). - Planeje janela de manutenção (o servidor reiniciará).
Executando o reparo
- Monte a mesma edição e idioma do Windows Server 2022 que está instalado (Standard/Datacenter; Desktop Experience/Core conforme o caso).
- Execute
setup.exea partir da mídia. - Nas opções, escolha manter arquivos e aplicativos.
- Conclua o assistente e reinicie quando solicitado.
Após o in‑place, volte a aplicar as CUs/SSUs. No caso real, as atualizações instalaram normalmente após esse reparo.
Checklist final
- Espaço em disco adequado no sistema e em
%SystemRoot%\SoftwareDistribution. - Antivírus/EDR sem bloquear servicing (use modo de manutenção conforme política).
- Conectividade com Windows Update/WSUS conforme a topologia do ambiente.
- Sem políticas bloqueando origem de reparo. Se necessário, habilite a política para usar Windows Update como fonte de recuperação.
- Revisão de
C:\Windows\Logs\CBS\CBS.logedism.logapós cada tentativa.
Diagnóstico avançado
Políticas e origem de reparo
Em ambientes controlados, configure adequadamente a política Especificar configurações para instalação de componentes opcionais e reparo de componentes para permitir:
- Uso do Windows Update como fallback, ou
- Um caminho alternativo de origem (pasta
SxSem compartilhamento/ISO corporativa).
Em situações com WSUS, verifique se Features on Demand e conteúdos de reparo estão disponíveis, ou utilize a mídia local como Source no DISM.
Logs e onde olhar
| Arquivo/Console | O que procurar |
|---|---|
CBS.log | Falhas de manutenção, pacotes com estado Failed, referências a componentes faltando |
dism.log | Erros durante /RestoreHealth, mensagens sobre source files not found |
| Visualizador de Eventos > Setup/Servicing | Eventos de instalação/servicing, códigos traduzidos e sequências de falha |
| WindowsUpdate.log (PowerShell) | Consolidação dos ETLs de Windows Update para rastrear download, verificação e instalação |
# Gerar WindowsUpdate.log (em sistemas modernos)
PowerShell.exe -NoProfile -Command "Get-WindowsUpdateLog"
Boas práticas específicas para DC
- Manter pelo menos dois DCs por domínio. Assim, manutenção em um DC não interrompe autenticações.
- Antes de manutenção, valide replicação (
repadmin /showrepl) e funções FSMO (netdom query fsmo). - Após o reparo/atualização, execute
dcdiage confirme que AD DS, DNS e KDC iniciaram corretamente. - Evite reverter VMs de DC para snapshots anteriores; prefira restauração de backup do Estado do Sistema.
Quando a SSU e a LCU interagem
No Windows Server 2022, a SSU costuma ser integrada às CUs mais recentes. Apesar disso, mensagens de erro podem sugerir que a SSU está ausente. Se o fluxo automático falhar, tente aplicar a SSU isoladamente (quando disponível), e depois a LCU. Se persistir a falha, o reparo do component store ou o in‑place tendem a resolver.
Scripts úteis
Análise e limpeza do component store
dism /online /cleanup-image /analyzecomponentstore
dism /online /cleanup-image /startcomponentcleanup
Atenção: /StartComponentCleanup reduz o tamanho do WinSxS, mas não corrige origem ausente por si só. Use em conjunto com as demais etapas.
Reset do Windows Update em PowerShell
Stop-Service -Name wuauserv, cryptSvc, bits, msiserver -Force
Rename-Item -Path "C:\Windows\SoftwareDistribution" -NewName "SoftwareDistribution.old" -ErrorAction SilentlyContinue
Rename-Item -Path "C:\Windows\System32\catroot2" -NewName "catroot2.old" -ErrorAction SilentlyContinue
Start-Service -Name msiserver, bits, cryptSvc, wuauserv
Conectividade e proxy
netsh winhttp show proxy
Se houver proxy, confirme regras para Windows Update/WSUS conforme sua política
Checklist de ISO para reparo
| Criterio | Recomendação |
|---|---|
| Edição | Igual à instalada: Standard ou Datacenter; Core vs Desktop Experience combinando |
| Idioma | Idêntico ao do sistema |
| Canal | Mídia de licenciamento equivalente (volume/OEM/retail) quando aplicável |
| Build de base | Mesma família do Windows Server 2022; patch level pode ser atualizado após o reparo |
Erros comuns e como evitar
- Usar ISO de edição/idioma diferente: o in‑place pode recusar ou gerar inconsistências. Garanta correspondência.
- Executar DISM sem Source em ambiente bloqueado: levará novamente a 0x800f081f. Aponte para
install.wim/install.esd. - Reparar sem backup do Estado do Sistema em DC: risco desnecessário. Sempre faça backup.
- Insistir em limpar
SoftwareDistributionindefinidamente: se a origem está ausente/corrompida, a limpeza isolada não resolve.
Exemplo de linha de base para nova tentativa
- Validar SSU instalada.
- Rodar
sfcedism /restorehealth. - Resetar componentes do WU.
- Se houver 0x800f081f, usar DISM com Source via ISO (
install.wim/.esd+/LimitAccess). - Persistindo a falha, realizar in‑place repair com
setup.exemantendo arquivos e aplicativos. - Aplicar as CUs/SSUs e revisar
CBS.log.
Resultado prático do caso real
O reparo in‑place com a ISO do Windows Server 2022 — executando setup.exe e escolhendo manter arquivos e aplicativos — sanou a corrupção/ausência de origem no WinSxS. Depois da conclusão e do primeiro reinício, as atualizações cumulativas voltaram a instalar normalmente, e o servidor retomou o ciclo de patches sem incidentes.
Perguntas frequentes
É seguro fazer instalação de reparo em um Controlador de Domínio?
Sim, quando executada corretamente e com os cuidados padrão: backup do Estado do Sistema, verificação de saúde do AD e planejamento de janela de manutenção. O processo mantém funções e dados. Após o reparo, valide dcdiag, repadmin e serviços essenciais (DNS, KDC).
Preciso despromover o DC antes do reparo?
Não é necessário para um in‑place repair. Despromoção adiciona complexidade e só é indicada se houver outros fatores de risco. O foco é reparar o sistema mantendo as funções.
Qual a melhor mídia para usar como Source no DISM?
A ISO que corresponda exatamente à edição e ao idioma instalados. Descubra o índice correto com /Get-WimInfo e use /Source:wim: ou /Source:esd: com /LimitAccess.
Uso WSUS. O que observar?
Certifique-se de que o servidor pode obter conteúdos de reparo. Se o WSUS não oferece as origens necessárias, habilite a política para permitir fallback ao Windows Update ou aponte o DISM para uma ISO local.
Por que a SSU aparece separada em alguns cenários?
Embora as SSUs mais novas venham agregadas às CUs, ainda há situações em que a pilha de serviço precisa ser corrigida isoladamente para que a LCU instale. Se a SSU falha, o in‑place repair normalmente corrige a pilha.
Resumo acionável
- Causa provável: repositório de componentes inconsistente ou origem ausente (
0x800f081f). - Correção que funcionou: reparo in‑place com a ISO do Windows Server 2022, mantendo arquivos e aplicativos.
- Roteiro: validar SSU → SFC/DISM → reset do WU → DISM com Source → in‑place repair → aplicar CUs/SSUs → revisar logs.
Com esse guia, administradores de Windows Server 2022 — especialmente em Controladores de Domínio — têm um caminho prático, seguro e repetível para destravar ciclos de atualização quando os métodos tradicionais não funcionam.